Αρχική  »  O Conficker ξύπνησε

O Conficker ξύπνησε

Σχετικά tags:                 
conficker p2p 150x100 O Conficker ξύπνησε

Η διασπορά των συνδέσεων P2P

Αφού πέρασε…αναίμακτα η 1η Απριλίου, χωρίς ο πανέξυπνα σχεδιασμένος Conficker να αναλάβει την οποιαδήποτε δράση, ήρθε η προχθεσινή ημέρα, 7 του ίδιου μήνα για να επιβεβαιώσει τους φόβους των ειδικών ασφαλείας. Τίποτα δεν έχει τελειώσει ακόμα. Ακόμα χειρότερα, ίσως είμαστε στην αρχή.

Η εταιρία TrendMicro (και σίγουρα και όλες οι άλλες) έχει θέσει κάποια συστήματα μολυσμένα με τον Conficker, σε 24ωρη παρακολούθηση, ωστε να παρακολουθούν τη συμπεριφορά του και τυχόν επικοινωνίες που θα πραγματοποιήσει. Σύμφωνα με χθεσινό δημοσίευμα, στον υπο παρακολούθηση υπολογιστή, δημιουργήθηκε ενα νέο αρχείο μεγέθους 119,296 bytes. Το περίεργο ήταν, πως δεν είχε υπάρξει καμία επικοινωνία του ιού με κάποιον Web Server στο ίδιο διάστημα.

Μετά απο προσεκτική ανάλυση, οι μηχανικοί ασφαλείας, συνειδητοποίησαν πως το νέο αρχείο είχε μεταφερθεί στον εν λόγω υπολογιστή μέσω του P2P δικτύου που έχει δημιουργήσει μεταξύ όλων των μολυσμένων υπολογιστών ο Conficker. Ο αποστολέας του αρχείου ήταν μια Κορεατική IP, κάτι βέβαια που δεν σημαίνει τίποτα ως προς την ευθύνη του χρήστη της συγκεκριμένης IP. Κάθε μολυσμένος υπολογιστής θα μπορούσε να είναι εν δυνάμει πηγή κάποιας ανταλλαγής δεδομένων.

Η επικοινωνία που έγινε sniff, ήταν –όπως αναμενόταν- πλήρως κρυπτογραφημένη με αποτέλεσμα να είναι αδύνατη η ανάλυση του κώδικα του αρχείου binary.

Μετά απο αυτό το … update, ο ιός άρχισε να προσπαθεί να επικοινωνεί με πηγές που είναι γνωστές για την διάδοση του ιού Waledac ωστε να κατεβάσει ενα αντίγραφο του. Ο ιός Waledac, κλέβει κωδικούς απο τα μολυσμένα συστήματα και τους αποστέλλει σε συγκεκριμένους servers.

Ουσιαστικά ο Conficker αποδεικνύει πως δεν είναι ιός αλλά ενα σύστημα παράδοσης ιών σε μολυσμένους υπολογιστές. Ενα Virus Framework θα το ονόμαζα…

Μια ακόμα ενδιαφέρουσα παρατήρηση που έκανε το ίδιο blog της TrendMicro, είναι η διασπορά των συνδέσεων P2P που κάνει ο Conficker στην προσπάθεια του να εντοπίσει κάποιο νέο … update. Σε ένα ακόμα δείγμα ιδιαίτερης ευφυίας, οι δημιουργοί του έκαναν το εξής απλό για να αποφύγουν εντοπισμό ή αντίμετρα. Έχουν ενσωματώσει ενα radomization engine το οποίο δημιουργεί εντελώς τυχαίες διευθύνσεις IP με τις οποίες κάνει προσπάθειες σύνδεσης. Με αυτό τον τρόπο, ακόμα και αν αποκρυπτογραφθεί ο κώδικας του, δεν μπορεί κανείς να ξέρει ποιές είναι οι “ένοχες” IP που μοιράζουν τις ανανεώσεις!

Δεν μπορώ παρά να παραδεχτώ την οξυδέρκεια των ανθρώπων πίσω απο αυτό το δημιούργημα… Εσείς;

Σχετικά tags:                 

Αναρτήστε το σχόλιο σας